Ochrona danych osobowych a dostęp do informacji publicznych 1
Organy władzy publicznej i osoby pełniące funkcje publiczne są zobowiązane do udostępnienia informacji o swojej działalności. Prawo do uzyskiwania informacji jest jednym z podstawowych praw konstytucyjnych każdego obywatela. Obowiązek udostępnienia informacji publicznej dotyczy też prywatnych przedsiębiorstw, które realizują zadania powszechne i użyteczne dla obywateli. Problem pojawia się, gdy takie informacje zawierają dane osobowe. Organ zobowiązany do udostępnienia informacji publicznej musi zrealizować swój ustawowy obowiązek, ale musi jednocześnie pamiętać, że nie może naruszyć prywatności osób, których dane osobowe muszą pozostać objęte tajemnicą. Ciężko jest wyznaczyć katalog danych osobowych składających się na prywatność osoby fizycznej. W związku z tym, to od okoliczności konkretnego przypadku zależeć będzie ustalenie, czy udostępnienie w ramach informacji publicznej określonych danych osobowych naruszać będzie prawo do prywatności danej osoby fizycznej. Prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne jest jednym z podstawowych praw konstytucyjnych. Pozwala sprawować realną kontrolę nad działaniami władzy publicznej i podmiotów wykonujących zadania publiczne. Nie ma jednak charakteru bezwzględnego. Dostęp do informacji publicznej podlega ograniczeniu ze względu na wartości określone w odrębnych ustawach. Należą do nich: wolność i prawa innych osób i podmiotów gospodarczych, porządek publiczny, bezpieczeństwo lub ważny interes gospodarczy państwa (art. 61 ust. 3 Konstytucji). Jedną z przesłanek uzasadniających ograniczenie prawa do informacji publicznej jest prywatność osób fizycznych. Ochrona danych osobowych a dostęp do informacji publicznych 2
WSTĘP... 2 Ważna jest treść i charakter informacji... 4 Kto musi udostępnić informację publiczną... 5 Podstawy prawne udostępniania informacji... 6 Informacja publiczna a dane osobowe... 7 Ograniczenia dostępu do informacji... 7 Ochrona danych a prawo do informacji... 9 Udostępnienie danych na podstawie zgody... 10 Obowiązki wynikające z przepisów... 10 Zadania wykonywane dla dobra publicznego... 11 Dane wrażliwe pod szczególną ochroną... 11 Ochrona danych osobowych a dostęp do informacji publicznych 3
Problematyka dostępu do informacji publicznej jest uregulowana przede wszystkim w ustawie z 6 września 2001 roku o dostępie do informacji publicznej (dalej także jako udip). Przepisy udip wskazują, jakiego rodzaju informacje mają charakter informacji publicznych oraz jakie organy zobowiązane są do ich udostępniania. Zgodnie z nimi udostępnieniu podlega każda informacja o sprawach publicznych (art. 1 ust. 1 udip). Musi być zatem wytworzona przez władze publiczne lub odnosząca się do nich bądź podmiotów wykonujących zadania publiczne lub gospodarujących mieniem publicznym. Taka informacja musi jednak dotyczyć faktów i danych, a nie niezmaterializowanych w jakiejkolwiek postaci zamierzeń podejmowania określonych działań (wyrok NSA z 25 marca 2003 r., sygn. akt: II SA 4059/02). Przykładowy katalog informacji publicznych wymienia sam ustawodawca. Wskazuje m.in., że udostępnieniu podlega: treść aktów administracyjnych i innych rozstrzygnięć; dokumentacja przebiegu i efektów kontroli oraz wystąpienia, stanowiska, wnioski i opinie podmiotów ją przeprowadzających; informacje o majątku publicznym. Jak podkreśla się w orzecznictwie, nie każda informacja wytworzona przez organ władzy publicznej jest informacją publiczną. Decyduje o tym treść i charakter takiej informacji. Jednocześnie należy pamiętać, że nie można utożsamiać dostępu do informacji publicznej tylko i wyłącznie z dostępem do dokumentów urzędowych. Prawo do informacji publicznej obejmuje bowiem także dostęp do posiedzeń kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów czy uzyskania informacji przetworzonej (czyli informacji opracowanej przez podmiot udostępniający na podstawie posiadanych przez niego danych i dokumentów). Ochrona danych osobowych a dostęp do informacji publicznych 4
PRZYKŁAD Spółka z o.o. zażądała od prezydenta miasta S. dostępu do operatu szacunkowego dla lokalu użytkowego miasta S., który został przeznaczony do sprzedaży. Prezydent miasta S. odmówił uwzględnienia wniosku argumentując, że żądana informacja nie jest informacją publiczną, albowiem operat nie został sporządzony przez organ administracji publicznej. W odwołaniu od decyzji spółka z o.o. podniosła, że informację publiczną stanowią nie tylko dokumenty zredagowane przez urzędników, ale także dokumenty innych podmiotów, skoro organ posługuje się nimi przy sprzedaży mienia komunalnego. Odwołanie spółki jest zasadne. Operat szacunkowy, sporządzony w celu ustalenia ceny sprzedaży nieruchomości stanowiącej własność Skarbu Państwa lub jednostki samorządu terytorialnego i przeznaczonej do sprzedaży, stanowi informację publiczną (wyrok WSA w Szczecinie z 23 października 2013 r., sygn. akt: II SAB/Sz 88/13). Obowiązek udostępnienia informacji publicznej mają władze publiczne oraz inne podmioty wykonujące zadania publiczne, o ile są w posiadaniu takiej informacji. W przepisach udip wymieniono jedynie przykładowo takie podmioty, a są nimi w szczególności: organy władzy publicznej, organy samorządów gospodarczych i zawodowych; podmioty reprezentujące Skarb Państwa; podmioty wykonujące zadania publiczne. Przepisy udip obejmują zatem także podmioty, które nie są organami administracji publicznej i podmioty prywatne (np. spółka komunalna, publiczna szkoła wyższa, przedsiębiorstwo zajmujące się dystrybucją energii elektrycznej lub paliw gazowych), jeśli wykonują zadania publiczne lub dysponują majątkiem publicznym. Ochrona danych osobowych a dostęp do informacji publicznych 5
PRZYKŁAD A. P. zażądała od przedsiębiorcy telekomunikacyjnego (świadczącego usługi na terenie całego kraju) udostępnienia dokumentacji technicznej związanej z budową linii przesyłowej. Przedsiębiorca odmówił udzielenia informacji argumentując, że nie jest objęty przepisami udip, a tym samym zobowiązany do udzielania takich informacji. Stanowisko przedsiębiorcy telekomunikacyjnego nie jest zasadne. Zadaniem publicznym jest bowiem nie tylko to finansowane ze środków publicznych. Z zadaniem takim mamy do czynienia także wtedy, gdy niezależnie od źródeł finansowania ma ono charakter powszechny i użyteczny dla ogółu, a także wiąże się z realizacją podstawowych publicznych praw podmiotowych obywateli (wyrok NSA z 18 sierpnia 2010 r., sygn. akt I OSK 851/10). Przepisy udip stosuje się więc w sytuacjach, gdy spełniony jest zakres podmiotowy (podmiot, do którego skierowano żądanie udostępniania informacji jest zobowiązany do jej udzielenia) i przedmiotowy (żądana informacja jest informacją publiczną) ustawy. Należy zwrócić uwagę, że kwestie dostępu do informacji publicznej regulują także ustawy szczególne. Należą do nich np. ustawa z 29 stycznia 2004 roku Prawo zamówień publicznych, ustawa z 20 sierpnia 1997 roku o Krajowym Rejestrze Sądowym, czy ustawa z 27 kwietnia 2001 roku Prawo ochrony środowiska. W związku z tym przepisy ustawy o dostępie do informacji publicznej mają zastosowanie jedynie w tych przypadkach, w których nie są sprzeczne z unormowaniami ustaw szczególnych regulujących zasady i tryb dostępu do informacji publicznej (norma kolizyjna wynikająca z art. 1 ust. 2 udip). Ochrona danych osobowych a dostęp do informacji publicznych 6
Informacja publiczna może zawierać w swojej treści dane osobowe bądź inne dane dotyczące sfery prywatności osoby fizycznej (np. decyzja administracyjna zawierająca imiona, nazwiska i adres stron postępowania). Zgodnie z ustawą z 29 sierpnia 1997 roku o ochronie danych osobowych (dalej jako uodo) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jak wskazuje się w orzecznictwie, danymi osobowymi są nie tylko informacje, za pomocą których można od razu ustalić tożsamość osoby fizycznej (np. imię i nazwisko, PESEL, NIP). Zalicza się do nich też te, które bez nadzwyczajnego wysiłku i nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą (np. wieloletni dyrektor szkoły w S. ). Zapamiętaj! Z żadnych przepisów nie wynika generalny zakaz udostępniania informacji publicznych zawierających dane osobowe. Nie jest też tak, że przepisy ustawy o dostępie do informacji publicznej legalizują w każdym przypadku udostępnianie danych osobowych będących częścią informacji publicznej. Regulacje udip, a także innych ustaw szczególnych przewidują jednak ograniczenia prawa dostępu do informacji publicznej. Jednym z ograniczeń w prawie dostępu do informacji publicznej jest prywatność osoby fizycznej (art. 5 ust. 2 udip). To ograniczenie nie dotyczy informacji publicznej, w sytuacji, gdy osoba fizyczna zrezygnowała z przysługującego jej prawa do prywatności. Ograniczenie dostępu do informacji publicznej ze względu na prywatność osoby fizycznej nie dotyczy też informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji. Termin prawo do prywatności nie został zdefiniowany w przepisach udip, a zatem w celu ustalenia jego treści należy sięgnąć do art. 47 Konstytucji RP oraz innych aktów ustawowych. Ochrona danych osobowych a dostęp do informacji publicznych 7
Jak wskazuje się w orzecznictwie prawo do prywatności stanowi dobro osobiste człowieka i obejmuje zdarzenia oraz okoliczności tworzące sferę jego życia osobistego i rodzinnego. Jednym z elementów tak rozumianej prywatności osoby fizycznej są niewątpliwie niektóre jej dane osobowe. Wobec tego dla oceny przesłanki ograniczającej prawo do informacji publicznej, jaką jest prywatność osoby fizycznej, konieczne jest odwołanie się do przepisów ustawy o ochronie danych osobowych. Nie da się z góry wyznaczyć katalogu danych osobowych składających się na prywatność osoby fizycznej. W związku z tym, to od okoliczności konkretnego przypadku zależeć będzie ustalenie, czy udostępnienie w ramach informacji publicznej określonych danych osobowych naruszać będzie prawo do prywatności danej osoby fizycznej. PRZYKŁAD Miasto S. udostępniło wnioskodawcy imiona i nazwiska osób fizycznych, z którymi zawarło umowy o dzieło. Przedmiotem tych umów było przygotowanie i wygłoszenie wykładów. W tych okolicznościach Sąd Najwyższy w wyroku z 8 listopada 2012 r. o sygn. akt: I CSK 190/12 uznał, że ujawnienie imion i nazwisk osób zawierających umowy cywilnoprawne z jednostką samorządu terytorialnego nie narusza prawa do prywatności tych osób, o którym mowa w art. 5 ust. 2 ustawy o dostępie do informacji publicznej. Kwestia zakresu danych osobowych, które mieszczą się w pojęciu prywatności osoby fizycznej jest sporna w samym orzecznictwie. W wyroku z 25 kwietnia 2014 roku (sygn. akt: I OSK 2499/13) Naczelny Sąd Administracyjny w przeciwieństwie do Sądu Najwyższego uznał, że imiona i nazwiska osób zawierających umowy cywilnoprawne z podmiotami wykonującymi zadania publiczne podlegają ochronie na podstawie art. 5 ust. 2 udip, tj. w ramach prawa do prywatności. Ochrona danych osobowych a dostęp do informacji publicznych 8
Zgodnie ze stanowiskiem reprezentowanym obecnie w orzecznictwie, ustawa o dostępie do informacji publicznej i ustawa o ochronie danych osobowych są równorzędnymi aktami prawnymi. W związku z tym uodo nie ma pierwszeństwa w stosowaniu przed przepisami udip (wyrok NSA z 5 marca 2013 roku, sygn. akt: I OSK 2872/12). Wobec tego w sytuacji, gdy informacja publiczna zawiera dane osobowe, podmiot zobowiązany do jej udostępnienia musi zbadać możliwość udzielenia takiej informacji pod kątem istniejących ograniczeń, tj. art. 5 ust. 2 udip, a następnie odnieść je do uregulowań uodo. W pierwszej kolejności trzeba przeanalizować, czy dane osobowe zawarte w informacji publicznej mieszczą się w sferze prywatności osoby fizycznej. W razie uznania w okolicznościach faktycznych danego przypadku, że ma to miejsce może odmówić udostępnienia informacji publicznej bądź też ją udostępnić po uprzednim zanonimizowaniu. Należy przy tym pamiętać, że anonimizacjanie ogranicza się wyłącznie do usunięcia personaliów osoby fizycznej. Koniecznym może być wyeliminowanie innych informacji o osobie fizycznej, jeśli pozwalają one na jej identyfikację. Chodzi np. o informacje o tym, że dana osoba jest właścicielem określonej nieruchomości, informacje o sytuacji finansowej (np. stan zadłużenia) czy adres e-mail. PRZYKŁAD Na stronie internetowej BIP Urzędu Gminy w S. opublikowano uchwałę Rady Gminy w przedmiocie załatwienia skargi na wójta, która zawierała imię, nazwisko oraz adres zamieszkania osoby fizycznej. Osoba ta nie wyraziła zgody na publikację jej danych osobowych. Przyjmuje się, że w takich okolicznościach dochodzi do naruszenia prawa do prywatności osoby fizycznej, a tym samym do naruszenia przepisów ustawy o ochronie danych osobowych. Treść art. 5 ust. 2 ustawy o dostępie do informacji publicznej wskazuje, w sposób jednoznaczny, że dobrem wyżej chronionym niż prawo do informacji publicznej jest prywatność osoby fizycznej. Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z 18 listopada 2008 r. w sprawie o sygn. akt: II SA/Wa 1177/08: Ochrona danych osobowych a dostęp do informacji publicznych 9
Usunięcie personaliów osób prywatnych czy też ich zanonimizowanie w ogłoszonej w BIP uchwale organu gminnego nie wpływa na czytelność dokonanego w ten sposób przekazu. W tym przypadku treść aktu administracyjnego nie traci waloru informacyjnego, albowiem wynika z niej kto, kiedy i w jakiej sprawie publicznej, zajął określone stanowisko. Gdy okaże się, że dane osobowe nie stanowią sfery prywatności danej osoby fizycznej wówczas konieczne jest zbadanie możliwości udostępnienia informacji publicznej przez pryzmat przesłanek przetwarzania danych osobowych (art. 23 i art. 27 uodo). Podstawową przesłanką pozwalającą na udostępnianie danych osobowych jest oczywiście zgoda osoby, której dane dotyczą. Wobec tego, jeśli podmiot zobowiązany do udostępnienia informacji publicznej dysponuje zgodą osoby, której dane są zawarte w takiej informacji, wówczas będzie mógł udostępnić informację publiczną wraz z zawartymi w niej danymi osobowymi. W sytuacji, gdy podmiot zobowiązany do udzielenia informacji publicznej nie dysponuje stosowną zgodą osoby fizycznej, będzie musiał rozważyć istnienie innych przesłanek legalizujących udostępnienie danych osobowych. Zgodnie z aktualnym stanowiskiem prezentowanym w orzecznictwie taką przesłankę stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Przepis ten dopuszcza przetwarzania danych, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Naczelny Sąd Administracyjny w wyroku z 5 marca 2013 r. (sygn. akt: I OSK 2872/12) uznał, że przepisami prawa, do których odnosi się art. 23 ust. 1 pkt 2 uodo, są przepisy ustawy o dostępie do informacji publicznej. Natomiast uprawnieniem, dla którego niezbędne jest udostępnienie danych osobowych, jest prawo do informacji, o którym mowa w art. 61 ust. 1 Konstytucji RP i art. 2 ust. 1 udip. Ochrona danych osobowych a dostęp do informacji publicznych 10
Oprócz przesłanki z 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w grę może wchodzić także podstawa przetwarzania danych osobowych określona w art. 23 ust. 1 pkt 4 uodo. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Udostępnianie informacji publicznej jest takim zadaniem publicznym (wyrok NSA z 13 stycznia 2011 r., sygn. akt: I OSK 440/10). PRZYKŁAD Udzielenie uczelni informacji publicznej zawierającej dane osobowe jej byłego pracownika(który publicznie podważa autorytet uczelni i jej władz) może być uznane jako obrona dobrego imienia uczelni realizowana dla dobra publicznego. Tym samym udostępnienie danych osobowych jest usprawiedliwione treścią art. 23 ust. 1 pkt 4 ustawy o ochronie danych osobowych (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 20 kwietnia 2006 r., sygn. akt: II SA/Wa 2227/05). Powyższe podstawy przetwarzania danych osobowych za wyjątkiem zgody osoby fizycznej nie mają oczywiście zastosowania do danych wrażliwych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych. Przepisy uodo ustanawiają bowiem generalny zakaz przetwarzania danych osobowych wrażliwych. Nie ma podstaw do uznania, że przepisami szczególnymi zezwalającymi na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, są przepisy ustawy o dostępie do informacji publicznej. Ochrona danych osobowych a dostęp do informacji publicznych 11
Wydaje się zatem, że podstawą przetwarzania danych wrażliwych może być oprócz zgody osoby z art. 27 ust. 2 pkt 1 uodo art. 27 ust. 2 pkt 8 ustawy. Zgodnie z nim dopuszczalne jest przetwarzanie danych osobowych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Jeżeli organ władzy publicznej ma obowiązek udostępnienia informacji publicznej, a jednocześnie w konkretnej sprawie nie zachodzą ograniczenia przewidziane w art. 5 ust. 1 i 2 udip, to dopuszczalne jest przetwarzanie (udostępnienie) danych osobowych. Ochrona danych osobowych a dostęp do informacji publicznych 12
Autor Agnieszka Kręcisz-Sarna, radca prawny Redaktor Wioleta Szczygielska ustawa z 6 września 2001 roku o dostępie do informacji publicznej (tekst jedn.: Dz.U. z 2014 r. poz. 782); ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182). Ochrona danych osobowych a dostęp do informacji publicznych 13
Ochrona danych osobowych a dostęp do informacji publicznych 14
Autor: Redaktor: Agnieszka Kręcisz-Sarna Wioleta Szczygielska ISBN: 978-83-269-4129-0 E-book nr: 2HH0383 Wydawnictwo: Adres: Kontakt: Wydawnictwo Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Ochrona danych osobowych a dostęp do informacji publicznych 15